引言
本文代码已提交至Github(版本号:
b18e61d3130215c1da77849cc94ba33c60149f88
),有兴趣的同学可以下载来看看:https://github.com/ylw-github/taodong-shop
在之前博客《淘东电商项目(67) -互联网安全架构设计(方法论)》,主要讲解了互联网安全架构设计的方法,主要介绍了如下几种:
- 基于网关实现IP黑名单与名单拦截
- API接口实现Token授权认证
- 使用MD5实现API接口验证签名,防止抓包篡改数据
- 实现API接口安全加密传输(公钥和私钥互换机制)
- 基于Oauth2.0 实现API接口开放平台
- 接口参数使用网关实现防止XSS、SQL注入
- 定期工具实现代码健康扫描
上面的打勾代码实现在上一篇博客已经实现《淘东电商项目(68) -互联网安全架构设计(黑名单拦截及MD5加签)》,本文主要讲解如何防御XSS攻击。
本文目录结构:
1.什么是XSS攻击
XSS攻击在前面的博客有讲解过,有兴趣的同学可以参阅《互联网并发与安全系列教程(05) - 常见的Web安全漏洞(XSS攻击、SQL注入、防盗链)》。
用简单的话来描述,举个例子:比如用户提交订单,url地址如下:
可以看到上面的订单地址是有“商品名称name”、“价格price”、“描述desc”组成,其中“描述”是用户填写的,这个时候黑客把里面的描述(desc
)改成js脚本如:
提交信息到后台后,后台会直接保存到数据库,下次如果商户查询订单列表时,会加载商品描述desc
,这个时候会直接把商户本地的cookies信息发送给黑客的服务器,这就是XSS攻击了。那该如何防御呢?
其实用户提交信息的时候,我们在后台网关处理下请求参数就好了,把关键字“<”、“>”
这些脚本括号,做下转义处理即可,下面来讲解下代码。
2.代码实现
继续完善上一篇博客的代码,完善建造者里面的内容。
①建造者接口增加过滤参数功能:
/** * description: 网关行为建造者 * create by: YangLinWei * create time: 2020/5/20 9:09 上午 */ public interface GatewayBuild { /** * 黑名单拦截 */ Boolean blackBlock(RequestContext ctx, String ipAddres, HttpServletResponse response); /** * 参数验证 */ Boolean toVerifyMap(RequestContext ctx, String ipAddres, HttpServletRequest request); /** * 参数过滤转义(防御XSS攻击) */ Map<String, List<String>> filterParameters(HttpServletRequest request, RequestContext ctx); }
②接口实现(VerificationBuild
类):
@Override public Map<String, List<String>> filterParameters(HttpServletRequest request, RequestContext ctx) { Map<String, List<String>> requestQueryParams = ctx.getRequestQueryParams(); if (requestQueryParams == null) { requestQueryParams = new HashMap<>(); } Enumeration em = request.getParameterNames(); while (em.hasMoreElements()) { String name = (String) em.nextElement(); String value = request.getParameter(name); ArrayList<String> arrayList = new ArrayList<>(); // 将参数转化为html参数 防止xss攻击 < 转为< arrayList.add(StringEscapeUtils.escapeHtml(value)); requestQueryParams.put(name, arrayList); log.info(">>>>>>过滤参数name:{},arrayList:{}>>>>>>>", name, arrayList); } return requestQueryParams; }
③构建者:
@Component public class GatewayDirector { @Resource(name = "verificationBuild") private GatewayBuild gatewayBuild; public void direcot(RequestContext ctx, String ipAddres, HttpServletResponse response, HttpServletRequest request) { /** * 黑名单拦截 */ Boolean blackBlock = gatewayBuild.blackBlock(ctx, ipAddres, response); if (!blackBlock) { return; } /** * 参数验证 */ Boolean verifyMap = gatewayBuild.toVerifyMap(ctx, ipAddres, request); if (!verifyMap) { return; } /** * XSS攻击处理 */ Map<String, List<String>> filterParameters = gatewayBuild.filterParameters(request, ctx); if (filterParameters != null && filterParameters.size() > 0) { ctx.setRequestQueryParams(filterParameters); } } }
3.测试
浏览器访问:http://localhost/api-pay/cratePayToken?payAmount=9999&orderId=20200513141452&userId=27&productName=广东米酒&orderDes=< script>alert(‘sss’)</ script>,在控制台,可以看到订单描述orderDesc
里面的内容被转义了,从而达到防御XSS攻击。
本文完!